Bài giảng Thương mại điện tử - Lecture 5: Bảo mật, an ninh trên mạng - Đào Nam Anh

1 
Thƣơng mại điện tử 
Lecture 5: 
BẢO MẬT, AN NINH TRÊN MẠNG 
TS Đào Nam Anh 
Đại học Điện lực, Khoa CNTT 
2 
Nội dung 
1. Các loại tội phạm trên mạng 
2. An toàn bảo mật cơ bản trong TMĐT 
3. Cơ chế mã hoá 
4. Chứng thực số hoá 
5. Một số giao thức bảo mật thông dụng 
3 
Tài liệu 
 KIẾN THỨC THƢƠNG MẠI ĐIỆN TỬ, TS. 
Nguyễn Đăng Hậu 
 GIÁO TRÌNH THƢƠNG MẠI ĐIỆN TỬ 
DÀNH CHO DOANH NGHIỆP, Ths Dƣơng 
Tố Dung 
4 
1. Các loại tội phạm trên mạng 
Có một số loại tội phạm chính sau: 
Gian lận trên mạng là hành vi gian lận, 
làm giả để thu nhập bất chính. Ví dụ sử 
dụng số thẻ VISA giả để mua bán trên 
mạng. 
Tấn công Cyber là một cuộc tấn công điện 
tử để xâm nhập trái phép trên internet vào 
mạng mục tiêu để làm hỏng dữ liệu, 
chương trình, và phần cứng của các 
website hoặc máy trạm. 
5 
1. Các loại tội phạm trên mạng 
Hackers (tin tặc): Hackers nguyên thuỷ là 
tiện ích trong hệ điều hành Unix giúp xây 
dựng Usenet, và World Wide Web... 
Nhưng, dần dần thuật ngữ hacker để chỉ 
người lập trình tìm cách xâm nhập trái 
phép vào các máy tính và mạng máy tính 
Crackers: Là người tìm cách bẻ khoá để 
xâm nhập trái phép vào máy tính hay các 
chương trình 
6 
1. Các loại tội phạm trên mạng 
Các loại tấn công trên mạng: 
1. Tấn công kỹ thuật là tấn công bằng 
phần mềm do các chuyên gia có kiến thức 
hệ thông giỏi thực hiện 
2. Tấn công không kỹ thuật là việc tìm 
cách lừa để lấy được thông tin nhạy cảm 
7 
1. Các loại tội phạm trên mạng 
Các loại tấn công trên mạng: 
3. Tấn công làm từ chối phục vụ (Denial-of-
service (DoS) attack) là sử dụng phần mềm 
đặc biệt liên tục gửi đến máy tính mục tiêu 
làm nó bị quá tải, không thể phục vụ được 
4. Phân tán cuộc tấn công làm từ chối phục 
vụ (Distributed denial of service (DDoS) 
attack) là sự tấn công làm từ chối phục vụ 
trong đó kẻ tấn công có quyền truy cập bất 
hợp pháp vào vào nhiều máy trên mạng để 
gửi số liệu giả đến mục tiêu 
8 
1. Các loại tội phạm trên mạng 
9 
1. Các loại tội phạm trên mạng 
Các loại tấn công trên mạng: 
5. Virus là đoạn mã chương trình chèn vào 
máy chủ sau đó lây lan. Nó không chạy 
độc lập 
6. Sâu Worm là một chương trình chạy độc 
lập. Sử dụng tài nguyên của máy chủ để 
lam truyền thông tin đi các máy khác 
10 
2. An toàn bảo mật cơ bản trong TMĐT 
Từ góc độ người sử dụng: 
1. Làm sao biết được Web server được sở 
hữu bởi một doanh nghiệp hợp pháp? 
2. Làm sao biêt được trang web này không 
chứa đựng những nội dung hay mã 
chương trình nguy hiểm? 
3. Làm sao biết được Web server không 
lấy thông tin của mình cung cấp cho bên 
thứ 3 
11 
2. An toàn bảo mật cơ bản trong TMĐT 
Từ góc độ doanh nghiệp: 
1. Làm sao biết được người sử dụng không 
có ý định phá hoại hoặc làm thay đổi 
nội dung của trang web hoặc website? 
2. Làm sao biết được hoạt động của server 
hosting không bị gián đoạn. 
12 
2. An toàn bảo mật cơ bản trong TMĐT 
Từ cả hai phía: 
1. Làm sao biết được không bị nghe trộm 
trên mạng? 
2. Làm sao biết được thông tin từ máy chủ 
đến user không bị thay đổi? 
13 
2. An toàn bảo mật cơ bản trong TMĐT 
An toàn bảo mật hay dùng trong TMĐT 
1. Quyền được phép (Authorization): Quá 
trình đảm bảo cho người có quyền này 
được truy cập vào một số tài nguyên của 
mạng 
2. Xác thực(Authentication): Quá trình xác 
thưc một thực thể xem họ khai báo với 
cơ quan xác thực họ là ai 
14 
2. An toàn bảo mật cơ bản trong TMĐT 
15 
2. An toàn bảo mật cơ bản trong TMĐT 
1. Auditing: Qua trình thu thập thông tin 
về các ý đồ muốn truy cập vào một tài 
nguyên nào đó trong mạng bằng cách sử 
dụng quyền ưu tiên và các hành động 
ATBM khác 
2. Sự riêng tư: (Confidentiality/privacy) là 
bảo vệ thông tin mua bán của người tiêu 
dùng 
16 
2. An toàn bảo mật cơ bản trong TMĐT 
Tính toàn vẹn (Integrity): Khả năng bảo vệ 
dữ liệu không bị thay đổi 
Không thoái thác (Nonrepudiation): Khả 
năng không thể từ chối các giao dịch đã 
thực hiện 
17 
3. Cơ chế mã hoá 
Để đảm bảo an toàn bảo mật cho các giao 
dịch, người ta dùng hệ thống khoá mã và 
kỹ thuật mã hoá cho các giao dịch 
TMĐT. 
Mã hoá là quá trình trộn văn bản với khoá 
mã tạo thành văn bản không thể đọc được 
truyền trên mạng. 
Khi nhận được bản mã, phải dùng khoá mã 
để giải thành bản rõ. 
18 
3. Cơ chế mã hoá 
Mã hoá và giải mã gồm 4 thành phần cơ 
bản: 
1. Văn bản gốc – Plaintext 
2. Văn bản đã mã – Ciphertext 
3. Thuật toán mã hoá – Encryption 
algorithm 
4. Khoá – Key — là khoá bí mật dùng nó 
để giải mã thông thường. 
19 
3. Cơ chế mã hoá 
Có hai phương pháp mã hoá phổ biến nhất: 
Phương pháp mã đối xứng (khoá riêng): 
dùng để mã và giải mã điện rõ, cả người 
gửi và người nhận đều sử dụng văn bản 
20 
3. Cơ chế mã hoá 
Mã không đối xứng (mã công cộng): sử 
dụng một cặp khoá: công cộng và riêng, 
khoá công cộng để mã hoá và khoá riêng 
để giải mã. Khi mã hoá người ta dùng hai 
khoá mã hoá riêng rẽ được sử dụng. 
Khoá đầu tiên được sử dụng để trộn các 
thông điệp sao cho nó không thể đọc 
được gọi là khoá công cộng. Khi giải mã 
các thông điệp cần một mã khoá thứ hai, 
mã này chỉ có người có quyền giải mã 
giữ hoặc nó được sử dụng - khoá riêng. 
21 
3. Cơ chế mã hoá 
22 
3. Cơ chế mã hoá 
 Ðể thực hiện các công việc mã hoá và giải mã, 
cần một cơ quan trung gian giữ các khoá riêng, 
đề phòng trường hợp khoá này bị mất hoặc 
trong trường hợp cần xác định người gửi hoặc 
người nhận. 
 Các công ty đưa ra các khoá mã riêng sẽ quản 
lý và bảo vệ các khoá này và đóng vai trò như 
một cơ quản xác định thẩm quyền cho các mã 
khoá bảo mật. 
23 
4. Chứng thực số hoá 
 Không phải tất cả các mã khoá riêng hay các 
chứng chỉ số hoá đều được xây dựng như 
nhau. 
 Loại đơn giản nhất của giấy chứng chỉ hoá 
được gọi là chứng nhận Class 1, loại này có 
thể dễ dàng nhận khi bất kỳ người mua nào 
truy nhập vào WEB site của VeriSign. doanh 
nghiệp cung cấp tên, địa chỉ và địa chỉ e-mail, 
sau khi địa chỉ e-mail được kiểm tra, sẽ nhận 
được một giấy chứng nhận số hoá. 
24 
4. Chứng thực số hoá 
Các chứng nhận Class 2 yêu cầu một sự kiểm 
chứng về địa chỉ vật lý của doanh nghiệp, 
Ðể thực hiện điều này các công ty cung cấp 
chứng nhận sẽ tham khảo cơ sở dữ liệu của 
Equifax hoặc Experian trong trường hợp đó là 
một người dùng cuối và Dun&Bradstreet 
trong trường hợp đó là một doanh nghiệp. 
Quá trình này giống như là một thẻ tín dụng. 
25 
4. Chứng thực số hoá 
Mức cao nhất của một giấy chứng nhận số hoá 
được gọi là chứng nhận Class 3. 
Có thể xem nó như là một giấy phép lái xe. Ðể 
nhận được nó doanh nghiệp phải chứng minh 
chính xác mình là ai và phải là người chịu 
trách nhiệm. 
Các giấy phép lái xe thật có ảnh của người sở 
hữu và được in với các công nghệ đặc biệt để 
tránh bị làm giả. 
26 
5. Một số giao thức bảo mật thông dụng 
Cơ chế bảo mật SSL (Secure Socket Layer) 
SSL tạo một trang HTML với các biểu mẫu 
để khách hàng cung cấp thông tin về họ 
trong lúc giao dịch. 
Sau khi các thông tin mà khách hàng nhập 
vào các biểu mẫu trên trang WEB hiển thị 
trên trình duyệt của họ đước mã hoá với 
SSL nó được gửi đi trên Internet một 
cách an toàn. 
27 
5. Một số giao thức bảo mật thông dụng 
Trong thực tế khi người sử dụng truy nhập 
vào các trang WEB được hỗ trợ bởi SSL, 
họ sẽ thấy một biểu tượng như một chiếc 
khoá ở thanh công cụ bên dưới chương 
trình. 
28 
5. Một số giao thức bảo mật thông dụng 
Cơ chế bảo mật SET 
SET có liên quan với SSL do nó cũng sử 
dụng các khoá công cộng và khoá riêng 
với khoá riêng được giữ bởi một cơ quan 
chứng nhận thẩm quyền. 
Không giống như SSL, SET đặt các khoá 
riêng trong tay của cả người mua và 
người bán trong một giao dịch. 
29 
5. Một số giao thức bảo mật thông dụng 
Cơ chế bảo mật SET 
 Khi một giao dịch SET được xác nhận 
quyền xử dụng, mã khoá riêng của người 
sử dụng sẽ thực hiện chức năng giống 
như một chữ ký số, để chứng minh cho 
người bán về tính xác thực của yêu cầu 
giao dịch từ phía người mua và các mạng 
thanh toán công cộng. 
30 
5. Một số giao thức bảo mật thông dụng 
Cơ chế bảo mật SET 
 Trong thực tế nó giống như là việc ký vào 
tờ giấy thanh toán trong nhà hàng. Chữ 
ký số chứng minh là ta đã ăn thịt trong 
món chính và chấp nhận hoá đơn. 
31 
5. Một số giao thức bảo mật thông dụng 
Cơ chế bảo mật SET 
Tiêu chuẩn bảo mật mới nhất trong thương 
mại điện tử là SET viết tắt của Secure 
Electronic Transaction-Giao dịch điện tử 
an toàn, được phát triển bởi một tập đoàn 
các công ty thẻ tín dụng lớn như Visa, 
MasterCard và American Express, cũng 
như các nhà băng, các công ty bán hàng 
trên mạng và các công ty thương mại 
khác. 
32 
Questions 
33 
Bài Tập Nhóm 
Chuẩn bị phần ―Giải pháp bảo mật, 
an ninh‖ cho Đề tài TMDT của 
nhóm.